Воскресенье, 24.09.2017
»

Финансовая соцсеть

Спецпроекты

Финансовый атлас

Инвест Сити

Фальшивые лица и романтики с взрывчаткой

+4 -0
273
Аа +
Фальшивые лица и романтики с взрывчаткой

29 июня в Москве, в отеле Palmira Business Club состоялась II практическая конференция «Информационная безопасность в финансах: регулирование, экспертиза, кейсы». Гости мероприятия, организованного журналом «Банковское обозрение», разбирались в новых тенденциях в сфере удаленных атак и вариантах защиты от них.

Модератор конференции, исполнительный вице-президент АРБ Эльман Мехтиев для начала извинился перед собравшимися за то, что «почти опоздал» и «за господина Собянина, который устроил нам этот ад». Гости оценили юмор, и содержательная часть мероприятия началась. Модератор отметил, что специалисты по информационной безопасности в банках сейчас нарасхват. Один из них следом и взял слово.

Удобство против безопасности и интернет-банк для бабушек

Андрей Бухтияров, главный архитектор и разработчик ЧатБанка (Совкомбанк) рассказал немного о своем опыте: «Мы ведем разработку для эксплуатации всегда в агрессивной среде, то есть всегда предполагаем, что за нами наблюдают, что все уже атаковано… - поделился представитель Совкомбанка. – Такой подход, естественно, дает больше защищенности».

Бухтияров порекомендовал избегать постоянных логинов и паролей, заменяя их одноразовыми. «Давно не существует хакеров-студентов, уже много лет мы имеем дело с организованной преступностью», - пояснил он необходимость подобной осторожности. Докладчик поведал об особенностях многокомпонентной цифровой подписи, которая используется в ЧатБанке и «выглядит несколько сложнее, чем в промышленных решениях». По мнению Бухтиярова, не существует баланса между безопасностью и удобством. Банк либо защищен, либо нет.

В зале заволновались, что бабушки – клиенты Совкомбанка не смогут пользоваться дистанционным обслуживанием из-за сложности многокомпонентной цифровой подписи. Андрей Бухтияров попытался рассеять сомнения: «То, к чему мы привыкли, мы считаем это простым. Бабушка не видела другого интернет-банка, она привыкла к этому, с тремя полями».

Стандарты Еврозоны для всех

Евгений Ким, старший менеджер отдела по управлению информационными технологиями и ИТ-рисками компании E&Y, рассказал о новых требованиях Европейской Экономической Зоны в области обработки и защиты персональных данных, которые коснутся и многих российских компаний. Например, тех, которые имеют англоязычные версии сайтов и предоставляют возможность гражданам Еврозоны совершать на них платежи, а также тех, которые собирают и обрабатывают персональные данные европейцев. Сложность вопроса для отечественных компаний состоит в том, что новые европейские требования, вступающие в силу с 25 мая 2018 года, придется совмещать с российскими.

Многообразие мошеннических инструментов

Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-Банка, представил вниманию собравшихся очень полезную презентацию. Он описал конкретные инструменты, при помощи которых мошенники наживаются на финансовой неграмотности и доверчивости людей. В список попали: «голосовая социальная инженерия» (звонки от так называемых сотрудников банка), смс-сообщения о «выигрыше» или блокировке карты (с просьбами перезвонить или перейти по ссылке), смс от «родственников», подброшенные флэшки с «троянами», сайты-клоны известных интернет-магазинов или сервисов по продаже авиабилетов, e-mail-сообщения о «задолженностях» и др. На этом список мошеннических технологий, к сожалению, не заканчивался.

Директор по информационной безопасности Московской Биржи Сергей Демидов посетовал на сложность работы с финтехом: «Часть компаний появляются и честно хотят заработать деньги, но часть хотят просто собрать деньги и исчезнуть». Московская биржа выдвигает свои собственные требования по информационной безопасности и требует от финтех-компаний их строгого соблюдения. При этом на Бирже надеются, что регулятор пока не будет добавлять к этому свои требования, чтобы не «кошмарить» финтех.

Евгений Матюшёнок, заместитель коммерческого директора Searchinform, поделился фактом: «Только за три первых месяца 2017 года у 24% компаний из тех, что присутствовали на наших мероприятиях, произошли утечки конфиденциальных данных». Утечки случились еще до WannaCry и других «громких» атак.

«Взломанная» биометрия

Александр Мец, руководитель направления бизнес-решений Samsung, рассказал о внедрении в смартфоны этой фирмы технологий биометрической идентификации. Биометрические данные практически невозможно подделать, заверил он. По крайней мере, таких случаев ему пока не известно.

Выступавший позже, ближе к концу конференции, Олег Бакшинский, руководитель направления Security Intelligence компании IBM Россия и СНГ, поделился неожиданным фактом: «Кто-нибудь знает, что вся биометрия уже взломана? Наберите в поиске «взлом телефона Samsung», и вы увидите, как это было…». По его словам, снимок радужной оболочки глаза наклеивался изнутри на контактную линзу, и смартфон принимал «подделку» за глаз своего хозяина.

Развиваемся нормально, но в жесткой парадигме

Настало время панельной дискуссии о поиске золотой середины между расходами на безопасность и доходностью банковского бизнеса. Эльману Мехтиеву в президиуме не хватило кресла. «Я пешком постою, ничего страшного» - не смутился модератор.

- Любой безопасник хочет закрутить гайки на все 100%, хотя абсолютной безопасности не существует, - рассуждал Алексей Голенищев. – Ну а бизнес, понятно, хочет обратного…

Участники дискуссии согласились с тем, что бизнесу нужны «железобетонные» доказательства необходимости внедрения тех или иных систем безопасности. Аргумент из серии: «У всех банков уже есть, а у нас нет» - в расчет не принимается.

Александр Виноградов из Руссобанка предупредил, что будет говорить за «маленькие и средние банки»: «Если будут какие-то виды угроз, о которых мы раньше не знали, думаю, понадобится помощь экспертов…».

- Если я зааутсорсил все на свете, и банк хакнули, то перед Банком России отвечать буду все равно я, а не аутсорсинг, - сказал Сергей Демидов к вопросу о передаче части функций по обеспечению информационной безопасности внешним компаниям. При этом сама Московская Биржа очень многое отдает на аутсорсинг. «У нас есть проблема: для нас инсорсинг очень дорогой» - объяснил Демидов.

- Аутсорсинг можно реализовать так, что он будет гораздо лучше того, что сделано внутри. Вместе с тем организация действительно несет юридическую и финансовую ответственность, - подтвердил Алексей Поспелов, начальник управления методологии и стандартизации информационной безопасности Банка России. – Но, наверно, некоторые вещи-то можно передать, не выпуская из рук какие-то основные весовые значения процедур.

II практическая конференция «Информационная безопасность в финансах: регулирование, экспертиза, кейсы»
II практическая конференция «Информационная безопасность в финансах: регулирование, экспертиза, кейсы»
Фото: Альберт Тахавиев, Finversia.ru

Представитель ЦБ отметил, что даже те, кто соблюдает написанные регулятором правила игры, не застрахован от потерь.

- Эти правила игры, они созданы исходя из парадигмы: «то, что написано – то разрешено» или «то, что написано – запрещено»? – задал заковыристый вопрос представителю ЦБ Эльман Мехтиев.

- Если мы в финансовой структуре, то парадигма жесткая, - ответил Поспелов. – Разрешено только то, что разрешено.

- А как же мы тогда будем развиваться? – забеспокоился Мехтиев.

- Развиваться будем нормально. Мы не будем терять людей и деньги. Будем вводить только отработанные правильные движения. Мы же не против развития!

Во время обеда участники конференции сошлись во мнении, что нужно проводить больше закрытых мероприятий по вопросам информационной безопасности. В отсутствие прессы представители банков охотнее обсуждают такую деликатную проблему и делятся примерами из практики.

Виртуальные личности с фальшивыми лицами

Григорий Сальников из компании «РТЛабс» (дочка Ростелекома) рассказывал о возможностях удаленной идентификации на базе Национальной биометрической платформы. «Биометрическая идентификация – это то, что нам знакомо с детства, - заявил Сальников. – Только рождаясь, мы начинаем узнавать своих родителей по голосу, по запаху и т.д.». Докладчик сообщил, что на данный момент Единая система идентификации и аутентификации (ЕСИА) содержит уже более 30 миллионов записей. В качестве участников пилотного проекта по первичной идентификации пользователей выбраны десять крупнейших российских банков.

- Самый сложный вариант атаки – это создание виртуальных личностей с фальшивыми лицами, - поделился представитель «РТЛабс», поспешив добавить, что и от таких атак уже придумана защита.

… и романтики с взрывчаткой

- Алексей Плешков раньше работал в Газпромбанке… - начал было представлять следующего спикера Эльман Мехтиев.

- И продолжаю там работать… – сказал Плешков, уже вышедший к микрофону.

- А почему здесь написано «независимый эксперт»? – удивлялся Мехтиев, глядя в программу.

- Потому что здесь я выступаю как независимый эксперт – заинтриговал слушателей Плешков.

По словам Алексея Плешкова, 2016-й год характеризовался большим количеством физических атак на банкоматы с использованием взрывных устройств. Эта тенденция продолжилась и в нынешнем году. Только теперь чаще используются газовые горелки, с помощью которых злоумышленники выплавляют отверстия, чтобы подключаться к внутренним системам банкоматов. В качестве превентивной меры Плешков порекомендовал «налаживать отношения с теми арендодателями, на территории которых стоит банкомат», устанавливать всевозможные датчики и камеры наблюдения.

Сергей Золотухин, менеджер по развитию Group-IB, который выступал с докладом чуть позже, на это заметил: «Прагматичные люди в Москве уже логически бомбят, а вот романтики в регионах все еще взрывают…».

- Взлом банков поставлен на поток, - уверил Алексей Плешков, упомянув в числе прочего наделавшие на днях шума вирусы Petya и Misha. При этом источниками инсайдерской информации, так необходимой хакерам, часто становятся бывшие сотрудники банков, по разным причинам уже не лояльные к ним.

Независимый эксперт рассказал, как на одном из публичных мероприятий по информационной безопасности к нему подошли хакеры и хотели разузнать, какими полномочиями он обладает, чтобы затем использовать их в своих интересах.

«Потолка» атак не будет

Роман Сабылин из Ростелекома объявил гостям конференции о том, что российский финансовый сектор гораздо больше подвержен DDos-атакам, чем мировой. «Объем атак с каждым годом растет в разы. Надо понимать, что потолка не будет!» - убеждал Сабылин. Мотивы у злоумышленников разные: конкурентная борьба, политические мотивы, вымогательство и так далее.

- Массовые атаки на банки почему-то все время происходят осенью. Не знаю, почему… - заметил Сабылин, как бы намекая, что сезон близится.

Артём Синицын, руководитель программ информационной безопасности в Центральной и Восточной Европе компании Microsoft, просветил собравшихся: самым популярным каналом распространения вредоносных программ является электронная почта. На втором месте – корпоративные сети.

Публичный Wi-Fi – как общественный бассейн…

После кофе-брейка Сергей Антонян из НАФИ, как обычно, представил социологические выкладки. Оказалось, каждое новое поколение соотечественников сообщает о себе все больше информации в интернете, и считает этот процесс абсолютно безопасным. Причем женщины в этом отношении беспечнее мужчин, как свидетельствуют соцопросы. Более трети опрошенных не используют на своих компьютерах регулярно обновляемое антивирусное ПО, а примерно пятая часть респондентов считают возможным осуществлять платежи через публичные Wi-Fi-сети. «Это как пользоваться общественным бассейном и подхватить там, извините, заразу» - привел аналогию Сергей Антонян.

- Должна быть максимальная защита от «дурака» с помощью технологий. Нужно работать над тем, чтобы пользователей защитить от самих себя, - призвал работников финансовой сферы Антонян.

Москва.

Заметили ошибку? Выделите её и нажмите CTRL+ENTER
все события »
+4 -0
273

обсуждение

Ваш комментарий
Вы зашли как: Гость. Войти через

А вы, друзья, как ни садитесь… А вы, друзья, как ни садитесь… Отгремели последние залпы и два «банковских корабля» с важным видом уплыли в разные стороны, полагая, что они что-то выиграли в этом бутафорском сражении. Это вряд ли. Будь проще, и люди потянутся Будь проще, и люди потянутся На фоне продолжающегося падения ставок по депозитам россияне активнее ищут альтернативные варианты для сохранения своих сбережений. Одной из тенденций прошедшего лета, как отмечают эксперты, стало оживление спроса на открытые паевые инвестиционные фонды. Временный ли это всплеск или интерес потребителей к ОПИФам будет расти и дальше? Портал Finversia.ru задал этот вопрос аналитикам финансового рынка. Василий Солодков: «Проблемы «Открытия» - следствие экономической и политической доктрины России» Василий Солодков: «Проблемы «Открытия» - следствие экономической и политической доктрины России» Василий Солодков, директор Банковского института Высшей школы экономики, рассказал порталу Finversia.ru почему случились проблемы у «Открытия» и как сложно избежать аналогичных проблем в будущем.

Новости

Основные курсы и котировки
Finversia-TV